Accord de traitement des données
Comment Obexal traite les données personnelles pour votre compte, au titre de l'article 28 du RGPD. Le DPA signé est fourni avec le devis : demandez-le.
Le présent accord de traitement des données (le DPA) fait partie du contrat conclu entre le client (le responsable de traitement) et l'éditeur d'Obexal, une société française en cours de structuration dont les informations d'immatriculation seront publiées dès l'immatriculation achevée (le sous-traitant), pour l'utilisation de la plateforme d'identité Obexal. Il définit les conditions dans lesquelles Obexal traite des données personnelles pour le compte du client, conformément à l'article 28 du règlement (UE) 2016/679 (le RGPD).
1. Objet
Obexal est un fournisseur d'identité souverain européen. Dans le cadre du service, Obexal traite des données personnelles pour le compte du client à la seule fin d'assurer la gestion des identités et des accès : authentification, authentification unique, gestion de l'annuaire et des groupes, provisionnement (SCIM), accès conditionnel, identité des agents et journal d'audit. L'objet, la durée, la nature et la finalité du traitement sont définis par l'usage que le client fait du service et par le présent DPA.
2. Rôles des parties
Le client agit en qualité de responsable de traitement et détermine les finalités et les moyens du traitement. Obexal agit en qualité de sous-traitant et ne traite les données personnelles que sur instruction documentée du client, y compris les choix de configuration effectués par le client au sein de la plateforme. Lorsqu'Obexal fait appel à un tiers pour réaliser des activités de traitement, ce tiers agit en qualité de sous-traitant ultérieur.
Obexal traite les données personnelles uniquement pour le compte du client. Il ne les utilise pas à ses propres fins, ne les vend pas et n'en tire aucun profil publicitaire ou de revente.
3. Catégories de données et personnes concernées
Les catégories de données personnelles traitées dépendent de la configuration du client et comprennent généralement :
- Attributs d'identité et de profil : prénom, nom, nom d'affichage, adresse e-mail, poste, département, langue préférée.
- Données d'authentification : empreintes de mot de passe, secrets TOTP, identifiants passkey (WebAuthn), codes à usage unique, identifiants de connexion sociale et LDAP.
- Données d'annuaire : utilisateurs, groupes, appartenances aux groupes, rôles, identités liées.
- Données d'accès et de sécurité : adresses IP, pays (via GeoIP), signaux d'appareil, signaux de risque, sessions et consentements.
- Données d'audit et de journalisation : évènements d'authentification, actions d'administration, activité des agents, horodatages.
- Données d'identité des agents : secrets des agents machine et IA, scopes, audiences, politiques et activité.
Les personnes concernées sont les personnes physiques dont le client gère les données dans Obexal, généralement ses salariés, prestataires, partenaires et utilisateurs finaux, ainsi que les opérateurs humains responsables des agents IA ou machine.
4. Mesures de sécurité
Obexal met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, compte tenu de l'état de l'art et des risques du traitement. Ces mesures comprennent :
- Une politique de mot de passe alignée sur les recommandations du NIST, avec un refus des mots de passe compromis vérifié entièrement en local.
- Une authentification forte et résistante à l'hameçonnage : passkeys (WebAuthn), TOTP, codes à usage unique par e-mail et renforcement (MFA strict) par politique.
- Un accès conditionnel en policy-as-code versionnée, avec simulation avant application et restauration de version, sur les dimensions réseau, horaire et pays, complétées par un score de risque (l'appareil est un signal de ce score).
- Des contrôles d'identité des agents : plafond de scopes, plafond de durée (TTL), allowlist d'audience, comportement fail-closed, renouvellement et expiration des secrets, et kill switch pour suspendre ou révoquer.
- L'isolation des tenants dans une architecture multi-tenant, avec configuration et marque blanche par tenant.
- Un journal d'audit et un flux d'audit en temps réel couvrant l'authentification, l'administration et l'activité des agents.
- Le chiffrement en transit, des contrôles d'accès pour les opérations d'administration et des jetons d'API limités à l'API d'administration.
Le détail des mesures techniques et organisationnelles est publié sur notre page sécurité ; l'annexe des mesures de sécurité du DPA signé en reprend le contenu.
5. Sous-traitants ultérieurs
Le client autorise Obexal à recourir à des sous-traitants ultérieurs pour la fourniture du service. La liste actuelle comprend : un hébergeur établi dans l'Union européenne (France) et un fournisseur d'e-mail transactionnel établi dans l'Union européenne. La liste nominative est communiquée sur demande via notre page contact. Obexal impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles prévues par le présent DPA. Tout ajout ou remplacement d'un sous-traitant ultérieur est notifié par e-mail aux administrateurs du client avec un préavis de 30 jours, en laissant au client la possibilité de s'y opposer.
6. Localisation du traitement
Obexal est conçu et hébergé dans l'Union européenne, sans dépendance hors UE et avec des polices auto-hébergées (aucun CDN externe). Les données personnelles sont hébergées en France, dans un datacenter en région parisienne. Obexal ne transfère pas de données personnelles en dehors de l'Espace économique européen. Si un tel transfert devenait nécessaire, il serait encadré par un mécanisme de transfert approprié au titre du chapitre V du RGPD et notifié au client au préalable.
7. Durée
Obexal traite les données personnelles pendant la durée du contrat conclu entre les parties et aussi longtemps que nécessaire à la fourniture du service. Les journaux techniques et d'audit sont conservés 12 mois. Les autres durées de conservation sont précisées dans notre politique de confidentialité et restent cohérentes avec le présent DPA.
8. Assistance au responsable de traitement
Compte tenu de la nature du traitement, Obexal aide le client à respecter ses obligations au titre du RGPD, notamment pour :
- Répondre aux demandes des personnes concernées exerçant leurs droits (accès, rectification, effacement, limitation, portabilité, opposition), grâce aux fonctions d'annuaire, de profil et de provisionnement de la plateforme.
- Garantir la sécurité du traitement, notifier les violations de données personnelles et, le cas échéant, réaliser des analyses d'impact et des consultations préalables.
- Assurer le déprovisionnement automatique au départ (arrivée, mobilité, départ) via SCIM sortant vers les applications aval.
Obexal notifie les responsables de traitement concernés de toute violation de données personnelles sans délai injustifié après en avoir eu connaissance, et au plus tard 72 heures après son constat.
9. Audit
Obexal met à la disposition du client les informations nécessaires pour démontrer le respect de l'article 28 du RGPD, et autorise et facilite la réalisation d'audits, y compris des inspections, par le client ou un auditeur mandaté par lui. Le client peut également s'appuyer sur le journal d'audit et le flux d'audit en temps réel de la plateforme. Les modalités d'audit (préavis écrit raisonnable, au plus un audit par période de douze mois sauf incident de sécurité ou demande d'une autorité, engagement de confidentialité) sont précisées dans le DPA signé. Obexal n'est pas certifié ISO 27001, SOC 2 ni HDS à ce jour ; une correspondance ISO 27001:2022 est documentée et une feuille de route SecNumCloud est engagée.
10. Fin du traitement
Au terme du contrat, Obexal, au choix du client, supprime ou restitue l'ensemble des données personnelles traitées pour le compte du client, et supprime les copies existantes, sauf obligation de conservation prévue par le droit de l'Union ou d'un État membre. La suppression définitive intervient dans les 30 jours suivant la demande du client ou, à défaut de demande, la fin du contrat.
11. Contact
Pour toute question relative au présent DPA ou à la protection des données, écrivez à contact@obexal.com ou appelez le +33 9 84 25 52 61. Le point de contact données personnelles est contact@obexal.com (un DPO sera désigné avec l'immatriculation).
Version du 2 juillet 2026.
Besoin de la version signée ?
Le DPA signé est fourni avec le devis : demandez-le, avec l'annexe des mesures de sécurité.